Flutter持續整合調度應用程式Cocoon達到SLSA Level 3供應鏈安全性

Google已經強化其知名跨平臺UI框架Flutter的軟體供應鏈安全性，進一步使持續整合調度應用程式Cocoon，達到SLSA Level 3供應鏈安全性。SLSA（Supply chain Levels for Software Artifacts framework）是Google在2021年所推出的軟體供應鏈安全框架，該框架制訂一組安全指引，透過對套件和構件的認證，讓開源軟體使用者有信心所使用的程式未經竄改。

Flutter Cocoon應用程式替Flutter基礎設施提供持續整合調度，能夠將多個持續整合服務與GitHub相整合，讓開發者能夠更簡單地使用GitHub開發。Flutter Cocoon在2022年的時候達到SLSA level 2安全性，意味著Cocoon已經達到SLSA Level 1與SLSA Level 2的安全性。

SLSA Level 1是最低層級的要求，只包括基本的安全措施，在建構過程必須完全腳本化和自動化，並生成包括建置過程、頂層原始碼和相依項目出處（Provenance）等資訊。SLSA Level 1無法防止篡改，僅有基本的程式碼出處識別，提供有助漏洞管理的機制，而SLSA Level 2則需要使用可生成經身份驗證出處的版本控制和託管建置服務，因此Cocoon在去年就已經擁有防止篡改的能力。

現在Cocoon達到SLSA Level 3，則代表出處程式碼和建置平臺都符合標準，可保證出處的可稽核性和出處完整性，稽核人員可以依循SLSA流程，證明平臺符合要求，使專案使用者能夠相信該專案的安全性，而且SLSA Level 3能夠防止包括交叉建置感染等特定類別的威脅，具有比Level 2更高等級的防篡改能力。

Google表示，SLSA Level 3的目的是要提高安全性，透過驗證建置出處確保Cocoon原始碼和構件都合格。出處指得是構件建置方法的描述，包括建置所用的機器類型、原始碼位置，以及建置構件所使用的指令等資訊，相比SLSA Level 2僅要求出處，SLSA Level 3更要求出處必須經驗證合格。

Cocoon使用了SLSA Verifier工具來驗證出處，所有Cocoon建置只有在具有合格出處的時候才會被接受，而出處必須證明構件是在Cloud Build執行個體上建置，且原始碼來自GitHub上的Cocoon儲存庫，Google提到，這些限制確保Cocoon構件安全且可靠。

除了持續提高Cocoon的SLSA Level之外，Google也在努力提高更複雜的專案，諸如Flutter和引擎的SLSA Level，官方提到，由於這些專案要提升SLSA Level，需要徹底改造構件生成過程，並且強化發布工作流程以符合安全規範，因此還有很多挑戰需要克服。